Windows Defender verschluckt sich an RAR
Microsofts Malware Protection Engine ermöglichte dank missglückter Bugfixes zeitweise die Remote Code Execution mittels präparierter RAR-Archive. Mittlerweile ist jedoch ein Update verfügbar, das automatisch verteilt wird.
(Bild: Twitter/@taviso)
Virenwächter müssen regelmäßig komprimierte Archive aller denkbaren Formate auspacken, um die entpackten Programme einem Virentest zu unterziehen. Indem sie alte Sicherheitslücken im Open-Source-Code für RAR-Archive fixten, schleusten die Microsoft-Entwickler eine eigene Sicherheitslücke in den Windows Defender und die firmeneigenen Sicherheitslösungen für Windows-Server ein. Die entdeckte jetzt Thomas Dullien alias Halvar Flake von Googles Project Zero.
Im Bugtracker Monorail erklärt er, dass Microsofts Malware Protection Engine (MPE) offenbar Code aus einer älteren, geforkten Version des Tools unrar enthält. Um darin enthaltene Schwachstellen zu beheben, änderten Microsofts Entwickler die meisten zuvor mit Vorzeichen versehene ("signed") Integer-Variablen zu "unsigned" (vorzeichenlos). Anschließend entfernten sie kurzerhand eine Code-Passage, die ursprünglich der Vorzeichenüberprüfung diente.
Dadurch entstand letztlich eine neue Sicherheitslücke mit der Bezeichnung CVE-2018-0986. Sie wird als kritisch eingestuft und ermöglicht unter bestimmten Voraussetzungen die Codeausführung im Kontext der MPE durch einen entfernten Angreifer. Weitere Details können der Beschreibung im Bugtracker entnommen werden.
Kein Grund zur Panik
Um die Sicherheitslücke auszunutzen, müssten potenzielle Angreifer laut Microsofts Sicherheitshinweis die MPE zum Scan einer speziell präparierten (beispielsweise als E-Mail-Anhang, Drive-by-Download oder via Phishing verteilten) RAR-Datei bewegen. Sofern der Echtzeitschutz aktiviert ist, geschieht dies bei jedem Datei-Download automatisch. Auch Server, auf denen die Engine läuft, könnten über die Lücke angegriffen werden – beispielsweise dann, wenn sie Nutzern den (RAR-)Datei-Upload ermöglichen.
Grund zur Panik besteht aber nicht: Ab Version 1.1.14700.5 ist die MPE gegen die Angriffsstrategie aus der Ferne abgesichert. Microsoft weist daraufhin, dass für Endnutzer und Admins normalerweise kein Handlungsbedarf besteht: Defender, Exchange Server, Forefront Endpoint Protection und Co. holen sich das enstsprechende Update automatisch. Alternativ kann die MPE natürlich auch manuell aktualisiert werden.
tipps+tricks zum Thema:
(ovw)
